:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Definition DNSSEC Was ist DNSSEC?
DNSSEC soll die Authentizität und Integrität der im Domain Name System übertragenen Daten sicherstellen, indem Resource Records mit digitalen Zertifikaten abgesichert werden. Das in mehreren RFCs standardisierte Verfahren basiert auf privaten und öffentlichen Schlüsseln zum Signieren und Prüfen der DNS-Informationen. Ziel von DNSSEC ist es, Manipulationen der Namensauflösung auszuschließen und die Schwachstelle der ungeschützten DNS-Übertragung zu beheben.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/62/55/62559fd04668d/delltech-logo-prm-blue-rgb.png "delltech-logo-prm-blue-rgb (Dell Technologies)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/64/05/6405f91ad489a/logo-pathlock.jpeg "logo-pathlock (Pathlock)"){kind=logo}
Die Abkürzung DNSSEC steht für Domain Name System Security Extensions. Es handelt sich um einen in mehreren RFCs (Requests for Comments) spezifizierten Internetstandard zur Sicherstellung der Integrität und Authentizität der im Domain Name System übertragenen Informationen. Die maßgeblichen RFCs sind RFC 4033, RFC 4034, RFC 4035 und RFC 5155. Die Standards erweitern das DNS-Protokoll um sicherheitsbezogene Verfahren und ermöglichen es, DNS-Informationen digital zu signieren. Zum Einsatz kommen öffentliche und private Schlüssel und Mechanismen der Public Key Infrastructure (PKI).
Durch DNSSEC ist sichergestellt, dass die DNS-Daten weder manipuliert wurden noch von einer anderen Quelle stammen. Private Schlüssel werden verwendet, um die Resource Records digital zu signieren. Mit dem öffentlichen Schlüssel lässt sich die Signatur von den Empfängern der Daten prüfen. Damit die Sicherheitsmechanismen der Domain Name System Security Extensions funktionieren, muss DNSSEC auf Seiten des Anbieters der DNS-Informationen und beim anfragenden Clientsystem unterstützt werden. Die im Jahr 1999 im RFC 2535 veröffentlichte erste Version von DNSSEC war aufgrund einiger Mängel nicht großflächig einsetzbar. Erst die im Jahr 2005 veröffentlichten RFCs beseitigten diese Mängel. Auf Root-Ebene des Internets startete DNSSEC im Jahr 2010. Mittlerweile sind circa 90 Prozent der Top-Level-Domains signiert.
:quality(80)/images.vogel.de/vogelonline/bdb/1599700/1599712/original.jpg "DNS ist in Windows Server-Umgebungen mit Active Directory zwar schnell eingerichtet, aber Administratoren müssen sich auch unbedingt um die DNS-Sicherheitsaspekte kümmern! (monsitj - stock.adobe.com)")
Video-Tipp: DNS-Sicherheit
DNS in Windows-Netzwerken absichern
Motivation für Domain Name System Security Extensions
Das Domain Name System ist eine wichtige Komponente des Internets. Es sorgt dafür, dass die zur Übertragung der Daten zwingend benötigten und zu einem bestimmten Domainnamen zugehörigen IP-Adressen auflösbar sind. Das ursprüngliche DNS-Protokoll liefert die DNS-Informationen als ungeschützten und unverschlüsselten Text aus und besitzt selbst keine Sicherheitsmechanismen. Manipulationen der Nachrichten sind daher nicht auszuschließen. Der Empfänger einer DNS-Antwort kann nicht feststellen, ob die Nachricht tatsächlich von dem DNS-Server stammt, den er angefragt hat. DNSSEC schließt diese Schwachstelle. DNS-Anfragen und -Antworten sind kryptografisch abgesichert. Die DNS-Antworten sind signiert und können vom empfangenden Client auf Integrität und Authentizität geprüft werden. Die Vertraulichkeit der Daten ist jedoch nicht vorgesehen, da keine Verschlüsselung der übertragenen Informationen stattfindet.
Grundsätzliche Funktionsweise von DNSSEC
Der DNS-Server, der eine abzusichernde Zone verwaltet, unterzeichnet seine gesendeten Resource Records mithilfe seines nur im bekannten privaten Schlüssel. Für jede Zone existieren eigene Zonenschlüssel, jeweils bestehend aus privatem und öffentlichem Schlüssel. DNSSEC spezifiziert mit dem RRSIG einen neuen Resource-Record-Typ. Er enthält die Signatur des jeweiligen DNS-Eintrags. Die verwendeten Schlüssel haben eine bestimmte Gültigkeitsdauer und sind mit einem Start- und Enddatum versehen. Resource Records können mehrfach mit verschiedenen privaten Schlüsseln unterschrieben sein, beispielsweise um rechtzeitig ablaufende Schlüssel zu ersetzen. Die anfragenden Clients prüfen die Signaturen mithilfe des allgemein bekannten öffentlichen Schlüssels der DNS-Zone. Ist eine Überprüfung erfolgreich, sind Manipulationen der Antwort ausgeschlossen und die Informationen stammen tatsächlich von der angefragten Quelle.
(ID:46193445)
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/a0/c8/a0c803ce5f66af3c4374f2d8ac360394/0111274640.jpeg "Vertrauenswürdige Webseiten durch „IP Use After Free“-Attacken sind die perfide Weiterentwicklung der Lookalike Domains. (Bild: bluebay2014 - stock.adobe.com)")